[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

Das widerspricht aber meinen geposteten Einstellungen aus #186 (ersten Bild)
Da hast du Recht. Und der Router steht auch auf Stufe I? Nicht dass das durch Mesh gepusht wurde.

-- Zusammenführung Doppelpost by stoney

Lt. dem Systemlog wurde das Update meines Repeaters von AVM angestoßen
Mir fällt grad auf, da steht ja nur, dass das Update von AVM als als "notwendig" gekennzeichnet wurde, nicht dass es auch von AVM angestoßen wurde. Ich tippe da in deinem Fall immer noch auf TR-069 durch die Telekom.
AVM kennt deine Geräte doch gar nicht. Entweder die Fragen trotz Verbots zyklisch bei AVM nach und installieren als notwendig markierte Updates trotzdem, oder der Provider pusht per TR-069. Sonst fällt mir kein Mechanismus ein.
 
Zuletzt bearbeitet von einem Moderator:
Ich tippe da in deinem Fall immer noch auf TR-069 durch die Telekom.

Nochmal nö...

hhhizfzdltudilzfoö.jpg

Die letzte Verbindung war 2 Tage vorher.

Aber das spielt jetzt sowieso keine Rolle mehr, da alle Updates da sind und ich diese heute Abend einspielen und dann das System komplett neu starten kann.

Gruß

Roland
 
Tja, ich weiß schon wieso ich die TR-069 Funktionalität per freetz-ng soweit wie möglich entfernt habe. Sonst hätte mir dieses Update nämlich meine gefreezte Firmware zwangsweise durch eine ungefreezte 7.57 ersetzt. Und theoretisch könnte man sogar noch einen Schritt weitergehen, indem man den verwendeten Signaturschlüssel vom AVM für neue Firmware aus einer selbst gefreezten Firmware entfernt. Dann würde ein solches Zwangsupdate nämlich von der Box wegen ungültiger Signatur zurück gewiesen. Das hat aber natürlich dann die Nebenwirkung, daß man per AVM-Gui gar kein offizielles Update mehr flashen kann, wenn man es nicht vorher selbst signiert hat und der passende eigene Schlüssel in der laufenden Firmware vorhanden ist.

Ungeachtet dessen habe ich natürlich, nachdem die passenden Patches bei freetz-ng eingepflegt waren ( was erfreulicherweise sehr schnell der Fall war ), sofort eine gefreezte 7.57 geflasht, denn es scheint sich ja um eine sehr schwerwiegende Sicherheitslücke zu handeln.
 
1200AX hat jetzt auch 7.57 bekommen, wurde um 10:04 auf dem ftp-Server hochgeladen.

Ein Update über den bereits auf 7.57 gebrachten 7490 im Mesh sagt aber für 7.56 - Version aktuell (der 7490 ist auf Stufe I). Nur per manuelle Suche über den Repeater wird die neue Version gefunden und zum Update angeboten.

Im Allgemeinen kann man sagen dass die zahlreichen Update-Buttons bei AVM ganz unterschiedlich behandelt werden und verschieden reagieren je nachdem wo sie sich im Mesh befinden, manchmal auch nicht die erwartete Funktionalität anbieten.

-- Zusammenführung Doppelpost by stoney

Hmm, noch immer nichts für die beiden "Flagschiff-Repeater" 3000AX und 6000. Seltsam. :rolleyes:
Doch, 3000ax und 6000 haben den Update um 10:04 heute bekommen, du schreibst deinen Beitrag um 10:40, also 35 Minuten nachdem der Update bereits da war ;)
 
Zuletzt bearbeitet von einem Moderator:
Meine DECT 440 update von 5.31 nach 5.32 Info nur Detailverbesserungen.

[Edit Novize: Beiträge zusammengeführt - siehe Forumsregeln]

Ich tippe da in deinem Fall immer noch auf TR-069 durch die Telekom.
Gestern, meine 2400 kein update gefunden mit JuisCheck
Update im 2400 gefunden und ausgeführt.
Ich denke Überbelastung bei AVM.
 
Zuletzt bearbeitet von einem Moderator:
FRITZ!Powerline 1240 AX / FRITZ!OS 7.57
 
N'abend, sogar die Vodafone Provider Box FB6591 (kdg), Berlin, welche ja immer noch auf 7.29 lief wurde soeben nach einem manuellen Neustart auf 7.57 befördert ! Wahnsinn, wie schnell das dann auf einmal geht.:rolleyes:
 
Naja, kein Provider will gerne wegen "Unterlassung" möglicherweise schadenersatzpflichtig werden...
 
  • Like
Reaktionen: YeahWhatever
Tja, ich weiß schon wieso ich die TR-069 Funktionalität per freetz-ng soweit wie möglich entfernt habe. Sonst hätte mir dieses Update nämlich meine gefreezte Firmware zwangsweise durch eine ungefreezte 7.57 ersetzt.
Wie du ja schon selbst geschrieben hast, kann man das auch verhindern ohne TR-069 zu deaktivieren oder gar zu entfernen. Und ich weiß, weshalb ich die TR-069 Funktionalität in der Firmware bestehen lasse…

Das hat aber natürlich dann die Nebenwirkung, daß man per AVM-Gui gar kein offizielles Update mehr flashen kann, wenn man es nicht vorher selbst signiert hat und der passende eigene Schlüssel in der laufenden Firmware vorhanden ist.
Das geht trotzdem, dazu wende ich kurz davor bspw. folgendes an (natürlich sind die passenden Keys im "NAS-Speicher" der Fritzbox entspr. abgelegt):
Code:
# mount -o bind /var/media/ftp/avm_firmware_public_key1 /etc/avm_firmware_public_key9

BTW:
Ungeachtet dessen habe ich natürlich, nachdem die passenden Patches bei freetz-ng eingepflegt waren ( was erfreulicherweise sehr schnell der Fall war ),
Dazu hätte man gar nicht erst auf den freetz-ng Maintainer warten müssen (auch wenn das in diesem Fall aufgrund der zeitnahen Reaktion kein Problem war). Abgesehen davon, dass die aktuelle Firmware damals auch in Freetz-NG noch per JUIS ermittelt wurde (zumindest für die aktuelleren Modelle, zwischenzeitlich wurde das allerdings wohl deaktiviert), kann man auch ohne weiteres selbst die aktuellen Images einpflegen, wäre ja schließlich kein Hexenwerk diese eine Zeile in einem "Notfall" mal selbst abzuändern…
 
Hallo,

auf einer bereits mit dem Sicherheitsupdate beglückten 7330 fanden sich jetzt mehrere gescheiterte Anmeldeversuche - allesamt mit mir unbekannten Benutzernamen (teils als Namen, teils in Form einer E-Mail-Adresse). De Box ist auch nicht sonderlich interessant oder gar viel benutzt - installiert bei einer Rentnerin mit überschaubarer Onlinenutzung.

Dies setzte sich auch nach einer Neuverbindung und damit neuer IP-Adresse fort (Zugriff könnte natürlich auch über die eher kryptische MyFritz-Adresse erfolgt sein, aber wer kennt die schon?). Ruhe zog erst wieder ein, nachdem ich den HTTPS-Port auf einen anderen Wert gestellt habe (war allerdings vorher auch schon nicht mehr 443). Hat das auch jemand bei sich beobachtet?

Gruß,
BanditDD
 
auf einer bereits mit dem Sicherheitsupdate beglückten 7330 fanden sich jetzt mehrere gescheiterte Anmeldeversuche - allesamt mit mir unbekannten Benutzernamen (teils als Namen, teils in Form einer E-Mail-Adresse).
Ist nichts neues:
https://www.ip-phone-forum.de/threa...6-255-53-sich-bei-der-7412-anzumelden.316125/
https://www.ip-phone-forum.de/threads/ip-adresse-eingehend-sperren.314881/
https://www.ip-phone-forum.de/threads/anmeldeversuche-aus-dem-internet.312292/
usw. usf…

Und BTW, wenn die Sicherheitslücke ausgenutzt werden würde, ist davon ggf. im Log gar nichts zu sehen. Denn mutmaßlich muss man dazu nicht erst versuchen, sich mit einem Benutzernamen anzumelden…
 
Nunja, der zeitliche Zusammenhang mit dem Update hat mich nachdenklich gemacht. Zuvor gab es sowas auf dieser Box nie!
 
Ich hoffe doch, für den DVB-C-Repeater gibts auch noch n Update… würde den schon gerne ohne Bedenken weiter benutzen können.
 
  • Like
Reaktionen: H´Sishi
mit den letzen 4 Geräten

2x 1200AX
2x 6000 Repeatern bin ich nun komplett auf 7.57 bzw. 7.31

....und schwups kommt die Meldung ´, dass AVM verkauft werden soll ....eine lang vorbereitete Abgabe in "neue (asiatische??) Hände...

 
Ich hoffe doch, für den DVB-C-Repeater gibts auch noch n Update…
Geht nicht, wegen Speichermangel… :D;) DuW

Ansonsten siehe Beitrag #182 + #185. Für das letzte StableRelease könnte man vielleicht die 4020 als Spender verwenden. Aber ich denke zumindest für die offizielle Version wird es für den DVB-C noch ein Update geben. Wäre sonst irgendwie lächerlich, wenn es offiziell kein Update für den geben wird aber für den 300E oder 310 dagegen schon…
 
  • Like
Reaktionen: SaschaBr
Was meinst Du @NDiIPP ist es möglich die inhouse 7.08 des DVB-C Repeater mit der FragAttack sowie dem aktuellen Problem zu Patch? So das die gute inhouse 7.08 up2date ist mit allen möglichen patches?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.